Czy istnieje „najlepszy” sposób na wykrycie, czy maszyna Windows (zakładając XP) jest częścią botnetu?
Poleciłbym trzy narzędzia do ustalenia, czy twój system jest częścią botnetu. Pakiet narzędzi sysinternals jest niezbędny do tego procesu. Trzy wymienione poniżej narzędzia to te, których będziesz używać w tym procesie.
Process Explorer, Filemon TCPView
Pierwszym krokiem jest uruchomienie TCPView, aby sprawdzić, czy rozmawiasz z jakimś dziwnym adresem w sieci. Powinieneś być w stanie rozpoznać wszystkie witryny, z którymi rozmawiasz. Jeśli znajdziesz witrynę, której nie rozpoznajesz, nadszedł czas, aby przyjrzeć się temu, co się dzieje.
Mówiąc ogólnie, kiedy masz na swoim komputerze botnet, w pewnym momencie będzie się on pojawiał w Internecie i kiedy na pewno to zauważy.
Po zidentyfikowaniu nieautoryzowanego ruchu zazwyczaj można sprawdzić, który program próbuje nawiązać połączenie. Tutaj udajesz się do eksploratora procesów i tutaj próbujesz zebrać jak najwięcej użytecznych informacji na temat procesu. Pamiętaj również, aby pamiętać o zakończeniu podejrzanego procesu. Jeśli wykonasz właściwy proces, nieautoryzowana komunikacja przez przewód powinna się zatrzymać.
Następnie przejdź do filemon, aby upewnić się, że złośliwe oprogramowanie nie otworzyło innego pliku, próbując utrzymać się przy życiu.
Jest to proces cykliczny, ale gdy eliminujesz programy pojedynczo, znajdziesz swój problem, jeśli taki istnieje.
Wczoraj odbyła się dogłębna dyskusja na temat ulepszeń w Slashdot - Skąd mam wiedzieć, czy mój komputer jest częścią botnetu?